2. Sécurité et Informatique
●
L'insécurité : une réalité aux multiples facettes
●
●
Définitions et rappels sur les risques
Quelles protections, pour quels risques ?
●
●
●
Mesures adaptées aux risques supports
Mesures adaptées aux risques essentiels
Ces données qui nous échappent
●
La multiplication des objets numériques
●
Le bon sens, entre prudence et paranoïa
●
Florilège d'outils en lien avec la protection
●
Questions / Réponses
3. L'insécurité Informatique
La sécurité absolue n'existe dans aucun
domaine de la vie réelle.
Pourquoi l'informatique ferait-elle exception ?
Quel que soit le domaine, on ne parle que de :
Gestion (ou réduction) des risques
Mesures de protections
Principe de précaution
en gardant à l'esprit que la perfection n'existe pas, et
qu'il faut toujours envisager les conséquences d'un
événement redouté avant qu'il ne survienne.
4. Rappels sur les risques
Les données numériques sont immatérielles,
pour les manipuler, on les met sur un support.
●
Il existe donc deux types de risques très différents :
●
●
Les risques essentiels :
Ce sont les risques que courent les données quel
que soit le support sur lequel elles se trouvent.
Les risques supports :
Ce sont les risques que la nature même du
support fait courir aux données qu'il contient.
5. Rappels sur les risques
●
Les risques essentiels :
●
●
La divulgation :
Une information peut être portée à la connaissance
d'un public qui n'avait pas à la connaître.
Confidentialité
L'altération (ou la dégradation) :
Lorsqu'on la récupère, une partie de l'information
n'est plus la même qu'au moment de son stockage.
Intégrité
6. Rappels sur les risques
●
Les risques essentiels (suite) :
●
●
La disparition :
La donnée ne peut pas être récupérée au moment
et à l'endroit où vous souhaitez le faire.
Disponibilité
La suspicion (force de preuve) :
Il n'existe pas de moyen pour démontrer qu'une
information est bien celle qu'elle prétend être.
Auditabilité
7. Rappels sur les risques
●
Les risques supports :
puisqu'il parait qu'une image vaut mille mots ...
8. Rappels sur les risques
●
Face à un risque donné, chaque support sera plus
ou moins sensible ...
Risque
Support
9. Quelles protections, pour quels risques
●
Évaluation des risques : approche par les Menaces
Exemples de menaces :
●
●
●
●
●
Une erreur, action non réfléchie d'un utilisateur insouciant
ou peu attentif.
La malveillance humaine, une personne agit à votre insu
pour vous causer volontairement du tort.
Un programme malveillant (malware), logiciel conçu
spécialement à des fins illicites.
Une panne, les matériels électroniques ont une durée de vie
limitée.
Un sinistre, vol, incendie, dégât des eaux, panne
irrémédiable, etc.
10. Quelles protections, pour quels risques
●
Évaluation des risques : approche par les Menaces
Il faut imaginer les événements redoutés en
terme de scénarios de menaces, et pour
chacune, évaluer :
●
●
sa probabilité (Potentialité) qui influe sur la
fréquence des mesures de protection,
son impact (Gravité) qui influe sur
l'importance accordée aux mesures de
protection
11. Quelles protections, pour quels risques
On obtient au final un tableau qui indique :
●
●
quoi faire pour se protéger des menaces dont on
veux se protéger,
quand le faire pour que ce soit suffisamment
efficace sans être trop coûteux.
L'étape suivante consiste à déterminer les moyens à
mettre en œuvre pour obtenir un niveau de
protection choisi avec pragmatisme.
12. Mesures adaptées aux risques supports
Les risques supports les plus courants :
●
Panne matérielle entraînant la perte des informations
●
Destruction irrémédiable d'un support (sinistre)
●
Disparition du support d'informations (perte ou vol)
mais aussi ...
●
●
Destruction logicielle des informations
(effacement par erreur ou malveillance, etc.)
Perte d'accès aux informations
(mot de passe perdu, ransomware, etc.)
13. Mesures adaptées aux risques supports
Toutes les mesures de protection sont basées sur :
●
●
●
la multiplicité des exemplaires de l'information
(On ne peut pas tous les perdre en même temps ...)
la localisation différente des divers exemplaires
(... surtout s'ils sont géographiquement dispersés ...)
la nature variée des supports utilisés pour chacun
(... et ne sont pas sensible aux mêmes risques.)
Dit autrement :
"Ne pas mettre tous ses œufs dans le même panier"
14. Mesures adaptées aux risques supports
Choix suivant le type d'informations :
●
Informations pouvant être régénérées
Système d'exploitation, applications, informations
publiques, informations dupliquées
Minimiser le temps de régénération
●
●
Disposer d'archives et de copies à jour
Informations ne pouvant pas être régénérées
"Mémoire numérique" (photos, vidéos, etc.),
archives documentaires (courriels), travail en cours
Protéger à la hauteur de la valeur de la perte
●
Multiplier les copies et varier les supports
15. Mesures adaptées aux risques essentiels
Les risques essentiels les plus courants :
●
●
●
Divulgation d'un information personnelle ou secrète
mot de passe, clé d'accès, numéro de CB, etc.
Altération ou perte d'une information importante
clé de licence, composant du système, etc.
Installation d'un composant malintentionné
virus, trojan, keylogger, autres malware
Et pour se protéger, seulement deux armes :
●
La prudence, jusqu'à la méfiance s'il le faut
●
Le bon sens ... et quelques bons conseils
16. Les données qui nous échappent
●
●
●
●
Sans données en ligne (le Cloud), les risques sont
majoritairement des risques supports.
Le Cloud est une nouvelle solution pour palier à
ces risques anciens
Mais le Cloud est porteur de façon intrinsèque de
risques nouveaux
Les nouveaux risques sont principalement des
risques essentiels
17. Les données qui nous échappent
Constat de ce qui se passe dans le Grand Public :
●
●
●
Le glissement vers des usages Cloud est massif
Pressés de toutes part, les utilisateurs confient de plus
en plus de choses aux nouveaux services si pratiques.
Le changement de risque n’est pas bien perçu
Les risques nouveaux ne sont pas évoqués dans le
discours marketing des fournisseurs de services Cloud.
Les habitudes de protection ne changent pas
Les utilisateurs conservent des habitudes qui sont
maintenant inadaptées aux nouveaux risques.
18. Les données qui nous échappent
Et un détail qui n’en est finalement pas vraiment un :
Les nouveaux objets d’accès aux ressources sont
fondamentalement différents des anciens "PC"
●
●
●
●
De plus en plus mobiles
De moins en moins ouverts
De plus en plus propriétaires et spécifiques
De moins en moins "hackables" (bidouillables)
Le PC cède la place aux :
Terminaux de Consommation de Loisirs Numériques
19. Le bon sens, entre prudence et paranoïa
Le Cloud n’est pas en lui même bon ou mauvais ...
... mais on peut en faire un bon ou un mauvais usage
Il faut développer de nouveaux réflexes :
●
Bien juger du caractère privé de ses informations
●
Savoir protéger celles qui doivent rester secrètes
●
Développer une saine méfiance vis à vis des services "gratuits",
"fait pour vous" ou "pour votre bien"
●
Comprendre les modèles économique de ces sociétés
●
Ne rien considérer comme inévitable et savoir dire non
●
Ré-évaluer régulièrement la maîtrise qu’on a de ses outils et
bien mesurer sa propre dépendance vis à vis d’eux
20. Florilège d'outils de protection
Quelques solutions de sauvegardes locales
Par fichiers :
Cobian Backup, Toucan
●
BackUpPC, Unison, Arena BackUp, Fullsync
Par Images disques :
●
●
●
●
DriveImageXML, Norton Ghost, Acronis
CloneZilla, outils Gnu/Linux (Partclone, etc.)
Nouva Linux BackUp & Rescue
21. Florilège d'outils de protection
Sauvegardes de type "Cloud "
Les services peuvent être spécialisés :
●
Pour les photos (Flickr, Picasa, Photobucket, ...)
●
Pour la musique (Soundcloud, MP3tunes, ...)
●
Pour les documents (ZoHo, Adobe Buzzword, ...)
... ou généralistes :
Google Drive
MS SkyDrive
DropBox
Ubuntu One
etc...
22. Florilège d'outils de protection
Caractéristiques importantes d'un Cloud :
●
Synchronisation en arrière plan sur plusieurs appareils
●
Limitation en volume et transfert (et tarification)
●
Liste des systèmes et appareils supportés
●
Services de diffusion audio et vidéo (streaming)
Et les caractéristiques les plus importantes :
●
Localisation des données (régime juridique du pays)
●
Politique de confidentialité de l’opérateur du Cloud
●
Modèle économique de la gratuité apparente
23. Florilège d'outils de protection
À malin, malin et demi : le chiffrement du contenu
Le principe :
●
Créer une copie chiffrée d’un répertoire sur le disque
●
Synchroniser cette copie chiffrée avec le Cloud
Toto
Tata
Titi
Chiffrer
Déchiffrer
A&t :
$ènM
5Ff)
Cryptkeeper (Linux)
AxCrypt (Windows)
A&t :
$ènM
5Ff)
24. Gestion des clés de protection
Pour ouvrir sa session (et déchiffrer son /home)
●
Un mot de passe court suffit,
●
Il faut le changer régulièrement
Pour protéger son trousseau de clé
●
Préférer une "phrase de passe" (passphrase)
Pour se connecter sur un site/service (en https)
●
Mots de passe complexes générés aléatoirement
●
Ne jamais utiliser deux fois le même
●
Les conserver dans son trousseau de clé
25. Gestion des clés de protection
Trucs et astuces de création de mots de passe
●
Ceux qui doivent être frappé souvent
●
●
Ceux qui ouvrent des coffres ou des trousseaux
●
●
Une dizaine de caractères variés, qu’il faut mémoriser et
apprendre à taper rapidement et sans erreurs, ex :
qf33&45bn (attention au social engineering)
Phrase longue, citation, suite de mots sans sens, ex :
CarotteChevalBureauOctobreVieux,
Ceux qui vont être mémorisés et gérés par le PC
●
Au moins 16 caractères générés aléatoirement, ex :
6"}>[Nz4,f69?-0x (à stocker dans Firefox ou le trousseau)
Voir des sites comme strongpasswordgenerator.com
26. Gestion des clés de protection
Gestion des mots de passe et clés de chiffrement
●
Règles d’hygiène sécuritaire
●
Savoir créer un mot de passe fort et fiable
●
Ne pas utiliser deux fois le même mot de passe !
●
Se faire aider par la machine pour gérer tout ça !
Le principe des poupées russes :
27. La protection induit-elle la sécurité ?
Comparons :
PC sous Windows
PC sous Linux + LL
●
Antivirus
●
Inutile
●
Anti-Trojan
●
Inutile
●
Parefeu
●
Intégré
●
Anti Backdoor
●
Inutile
Trop d'insécurité -->
méfiance nécessaire et
plus de protections
Plus de sécurité -->
plus de confiance et
moins de protection
Et ceci n'est (quasiment) pas une caricature